タグ

ブックマーク / n.pentest.jp (5)

  • JALマイレージバンクについて個人的まとめと雑感 « (n)

    Tweet このようなニュースがありました。 「JALマイレージバンク」に不正ログイン、マイル盗む 数字のみパスワードの強化策は「検討していない」 以下は記事の引用です。 同社はメールとWebサイトを通じ、全ユーザー2700万人にパスワードの変更を依頼。JALマイレージバンクのパスワードは数字6ケタだが、数字だけのパスワードが脆弱という認識は「ない」(同社広報部)としており、ケタ数を増やしたりアルファベットを加えるなどの強化策は「検討していない」という。 割と衝撃的な回答ですね。 ちなみに各社のポリシーは以下の通りでした。 ・JAL 半角数字6桁 ・ANA 半角数字4桁 ・ソラシドエアー 6文字以上12文字以内で、半角英数のみ ・スターフライヤー 半角数字4〜8桁 *全て同じ数字は利用できない。 ・AIR DO 数字のみの場合8文字以上20文字以下、英数字の場合6文字以上

    JALマイレージバンクについて個人的まとめと雑感 « (n)
    mickn
    mickn 2014/03/11
    リンク

  • リモートデスクトップにPass-the-Hashしてみました。 « (n)

    Tweet Kali Linuxblogを見て試してみました。 Pass-the-Hashって何?という方もいらっしゃると思いますので(かなり)簡単に説明します。 WIndowsはログオン(最近はサインインと言うようですね。)パスワードは平文ではなく、ハッシュ関数を用いてハッシュ化して保存されています。 ntsujiというユーザ名でntsujiというパスワード設定した場合は以下のように保存されました。 ntsuji:1001:NO PASSWORD*********************:622BB9FF06C09173842E03C47E49F33F::: 「622BB9FF06C09173842E03C47E49F33F」の部分が「ntsuji」というパスワードをハッシュ化したものです。 通常ログオンする際には、「ntsuji」と設定したパスワードを入力しなければログオンでき

    リモートデスクトップにPass-the-Hashしてみました。 « (n)
    mickn
    mickn 2014/01/29
    リンク

  • JICS2014に参加してきました。 « (n)

    Tweet JICS(JAPAN IENTITY & CLOUD SUMMIT)2014でお話をしてきました。 ボクが出させていただいたトラックはこういう感じのものだったのですが構成としては 根岸さん、ボク、徳丸さんの順番にそれぞれの視点(ボクは攻撃者視点)でお話をしてから その3名に楠さんを加えてパネルディスカッションを行なうというものでした。 ボクがお話したときの資料はコチラ。 (ただ、これを見ながら聴いていただくための資料で、持ち帰りを前提とした配布資料的なものではないのであしからず。) 全体的にいつも参加しているイベントと違い、自分としてはとても新鮮な雰囲気でした。 このイベント自体がセキュリティオンリーなものではないので、そこがそもそも新鮮さを誘発する要因だったのかもしれませんね。ふと思ったのですがセキュリティって色々なものに関連するにも関わらず、切り離してセキュリティ

    JICS2014に参加してきました。 « (n)
    mickn
    mickn 2014/01/22
    リンク

  • リスト型アカウントハッキングによる不正ログインへの対応方策について メモ « (n)

    Tweet 総務省から「リスト型アカウントハッキングによる 不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集) 」がリリースされました。そちらについての思うところメモ。 【P2】 このようなリスト型攻撃から個人情報や信用情報などを守るためには、利用者において、自身のID・パスワードの管理に際して対策を実施していただく必要があることは言うまでもありません。しかし、リスト型攻撃による不正アクセスの発生やそれに伴う個人情報の漏洩は、企業のコンプライアンス上問題となり、企業の信用を損ねる恐れがある他、内部調査及び復旧のためにサービスを停止する事態になれば、多くの機会損失が発生することになるなど、サービスを提供する事業者自身の問題とも言えます。 ユーザが設定するパスワードが推測可能なものか、使い回しているかということは最終的にユーザの責任において行われる

  • パスワードの有効期間設定及び、パスワードの定期変更についてボクなりに再考してみましたよ。 « (n)

    Tweet 総務省から「リスト型アカウントハッキングによる 不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集) 」がリリースされました。思うところがったので以前メモしたのですが、先日、その文書に関わった方と「パスワードの定期変更」についてTwitterでやり取りさせていただきました(やり取り内容はこちら)ので再度「パスワードの定期変更」について総務省からリリースされた文書(以下、文書)を参考に自分なりに考えてみようと思います。 ちなみにボクは、この策に対しては懐疑的、否定的で、リスト型攻撃を含む攻撃(辞書攻撃などを含む)に対抗する場合は、「パスワードの使い回しをやめる」ことと「容易に推測可能なパスワードは設定しない」という対策を行うべきだと考えており、定期変更は必要がないというスタンスです。(もちろん、自ら定期変更を行いたいという方は行っていた

  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.